我使用HTTPS,但希望最小化某人使用最近其他人实际使用的会话ID制造他们自己的cookie的风险。php会话劫持 - HTTPS足够了吗?指纹的建议?
作为一个会话变量,我有一个到期时间,所以如果最近没有使用会话,会话就会失效,所以我认为当受害者处于活动状态或最近离开站点时没有正确注销时,机会窗口就是这样。
我不希望大量的流量,我使用生成会话ID的标准php方法。我相信某人真正成功(甚至尝试)在这里劫持某人会话的“风险”接近于零。
我想要做的是以某种方式“识别”远程用户,没有使用$_SERVER['REMOTE_ADDR']
。我的想法是,攻击者必须同时找到有效的会话ID,以及模拟实际用户的不同属性。
我不想强制用户使用证书登录。我希望它可以在所有标准Web浏览器中工作,即使对于我的祖母和其他非技术人员(如她)也是如此。
所以,我最初想问的是:有没有HTTPS会话的任何“属性”可以使用?他们会有用吗?如果是这样,我如何找到它们? phpinfo()
没有显示任何特定的HTTPS。 (是不是因为httpd
不公开吗?)
我应该使用HTTP_USER_AGENT
+ HTTP_ACCEPT
串联+ HTTP_ACCEPT_LANGUAGE
+ HTTP_ACCEPT_ENCODING
+ HTTP_ACCEPT_CHARSET
或类似的东西,被认为是独特足够用户之间?
非常高兴为所有答案! (但是,在回答StackOverflow上的其他问题之前,请阅读该问题) 谢谢!
确保在开始编码之前先完成所有研究。会话安全性是一个众所周知的问题,如果其他人有一个经过深思熟虑和测试的解决方案,我会考虑首先使用它。 – 2010-07-15 15:13:01
@Dan the Sane:你怎么知道对方的代码比你的更好? – symcbean 2010-07-15 15:49:53
@Dan the Sane:我同意。这正是我在这里问的原因。 – MattBianco 2010-07-16 08:33:56